Gestor de risco tem papel central na segurança cibernética
Associação europeia afirma que ameaça engloba toda a empresa e por isso necessita envolvimento de todos, incluindo conselho de administração
A principal associação de gestores de risco da Europa alertou as autoridades que o combate aos riscos cibernéticos exige o esforço de toda a empresa – e não apenas de seus técnicos de segurança informática.
Por esse motivo, é necessário que os gestores de riscos desempenhem um papel central nesta tarefa, de acordo com a Ferma, a federação das associações nacionais de gestão de risco europeias.
A organização fez o alerta em sua contribuição a uma consulta aberta pela Comissão Europeia sobre a formação de parcerias público-privadas para fortalecer a segurança cibernética na região.
No documento, a Ferma diz que um foco muito restrito em termos de segurança cibernética pode impedir as empresas de entender de forma eficiente os riscos virtuais que enfrenta.
A entidade também fez um apelo por uma maior colaboração entre as partes envolvidas no combate ao risco.
“As ameaças cibernéticas agora têm uma natureza sistêmica”, disse Jo Willaert, o presidente da Ferma. “Portanto, as empresas, governos e seguradoras precisam colaborar. Nós devemos atuar agora mesmo.”
ERM
No documento apresentado à comissão, a Ferma procura tratar com profundidade o papel central que a entidade acredita que o gestor de risco deve ter no combate às ameaças cibernéticas.
“Devido à sua natureza de constantes mudanças, os riscos cibernéticos ameaçam o sucesso das organizações na busca de seus objetivos”, afirma o documento. “Como com qualquer outro risco, o gestor de risco acrescenta um valor agregado único por meio da identificação e quantificação da exposição ao risco cibernético. Este é um passo necessário rumo ao entendimento e da exposição que a empresa tem [ao risco] e à sua administração por meio do emprego de soluções de segurança cibernética.”
O documento segue: “O risco cibernético não é apenas um riso informático; é um risco de toda a empresa. A segurança cibernética deve ser integrada ao sistema de gerenciamento de risco integral [ERM, na sigla em inglês] da organização, com o conselho desempenhando um papel crítico de monitoramento, e com o gestor de riscos oferecendo assessoramento especializado para dar suporte à tomada de decisões.”
A Ferma observa que os riscos cibernéticos ameaçam a reputação das empresas e também a resiliência de suas cadeias de suprimento.
Além disso, afirma a entidade, leis cada vez mais exigentes estão aumentando os riscos enfrentados pelas empresas não apenas com relação às suas próprias exposições, como também as que podem criar para terceiros, como clientes e parceiros comerciais.
“Os conselhos das empresas precisam entender que o risco cibernético é um risco corporativo”, afirmou Willaert. “Por isso, nós advogamos um papel central para a função da gestão de risco. Sem ser um especialista em TI, o gestor de risco provê assessoramento qualificado para apoiar o conselho e o presidente [da empresa]. Ele ou ela está trabalhando de mãos dadas com as unidades operacionais como os departamentos de informática, jurídico e auditoria interna.”
A Ferma também propõe a introdução de algumas medidas para aprimorar o mercado de seguros cibernéticos, como a criação de um banco de dados de sinistros no setor, incluindo informações como os custos e os prejuízos causados por eventos cibernéticos.
Clique aqui para ler o documento em inglês.
